Esqueci de dizer que: Para o firewall/proxy ser uma máquina física/única, é necessário ver qual tua demanda e o risco do que está na rede/servidores para sua segurança. Como falei acima, dimensionar teu ambiente e projeto, é sempre a melhor saída. Abs
2010/11/17 Ananias Filho <[email protected]> > Vamos a experiências reais para se ter uma idéia da coisa. > > Cenário de implementação a 4 anos (até 5 meses atrás) > Servidor P4 HT com 2gb de ram e disco de 120Gb (7500rpm) > Proxy squid com autenticação NTLM e cache ativado > Filtros aos montes e cheio de regra de quem pode e quem não pode / o que > pode e o que não pode. > Usuários: 618 > Rede toda no 100Mbps com switchs 3com/Dlink e alguns cisco > > Migração (a 5 meses em funcionamento + 3 meses de migração e testes - 8 > meses total) > Lâmina Dual Xeon com 32Gb de ram e disco de 146Gb SAS com Xen > Vm com processamento OnDemand (média de 1.5Ghz) e até 4Gb de ram OnDemand > (Uso médio de 1.8Gb) e disco em storage via fibra. > Placa de rede tipo WIC (4 portas 1Gb) 1 só para o Proxy para rede Interna > O mesmo cenário anterior de software só que com 834 usuários > > Meu cliente ficou muito mais satisfeito pois agora a VM tem redundância > física e lógica > além da interface de gerenciamento. Foram feitas homologações com Endian e > PfSense e ele falou que queria o PfSense e como já há módulo nativo de > redundância entre os dois caras + um interface bem "bunitinha" como diz o > cliente, foi um caso de sucesso de implementação em geral já que houve > migração de firewall + proxy + AD (Samba4) + Servidores físicos para VM > (Win2k3 e Win2k8). > > Os clientes da rede não sentiram mudanças mas perceberam a melhora nas > requisições já que era comum esperar o carregamento de sites/downloads que > demoravam demais ou tinha que ficar no famoso F5/Ctrl-R > > O interessante desse caso inteiro, é que bate em tudo que o Max falou > acima. Memória/Proc/Disco/Configuração > > se você conseguir dimensionar seu uso, o projeto e a implementação será > mais tranquila e menos problemática. > Abraços > > > > 2010/11/17 Max Miorim <[email protected]> > > 2010/11/17 Flávio Barros <[email protected]>: >> > Bom dia. >> > >> > Meu chefe me solicitou que passasse o proxy que atualmente está em uma >> > máquina física para uma VM configurado no XEN-Citrix. >> > >> > Levando em consideração que a rede na qual o proxy está tem >> aproximadamente >> > 300 hosts. >> > Pergunto: >> > 01. Quais os impactos ? >> A principio nenhum, vai ser mais uma máquina para administrar. >> >> > 02. A VM vai suportar o tráfego ? >> Se o hardware do dom0 tiver suporte para as extensões de virtualização >> (SVM para os AMDs, VMx para os Intel) e tu der os recursos de hardware >> necessários (principalmente memória e disco, se for só cache). >> >> > 03. O desempenho vai cair surgindo com isso lentidão no acesso à >> Internet ? >> Pode ser que sim, pode ser que não. Depende de como tu configurou o >> proxy e dos recursos que tu vai liberar para este domU. >> >> > 04. É recomendado deixar o proxy em uma máquina separada mesmo ? >> Eu acho um pouco mais fácil fazer a intercepção de pacotes quando a >> máquina do proxy é diferente do firewall. Claro que estou falando de >> uma intercepção mais "limpa" e não os proxies tansparentes que >> qualquer zezinho coloca p/ não pedir autenticação e forçar todo mundo >> p/ passar pelo cache - é mais algo tipo WCCP ou TPROXY. >> >> E tem também a questão segurança: se o proxy é comprometido, não afeta >> o firewall e vice-versa. >> >> No mais, eu não diria que é uma regra (todo proxy tem que ficar em uma >> máquina separada), mas dependendo do caso pode ser um recurso útil. >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected]<slack-users-br%[email protected]> >> > > > > -- > *kram3r* > -- *kram3r* -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
